Mit Blick auf Sicherheit ist Cloud Computing für Firmen zugleich Freund und Feind. So formuliert es die für Sicherheit in der Informationstechnik zuständige EU-Behörde Enisa in ihrer soeben veröffentlichten Studie "Cloud Computing - Benefits, risks and recommendations for information security". Einerseits biete die Anhäufung von Daten im Netz neue Angriffsmöglichkeiten, andererseits könnten Abwehrmechanismen in der Wolke besonders wirksam und kostengünstig sein.
Als eines der größten Sicherheitsrisiken bezeichnen die EU-Sicherheitsexperten den Verlust an Kontrolle. Wer einen Vertrag mit einem Cloud-Anbieter eingehe, gebe immer auch die Steuerung von Bereichen aus der Hand, die die Sicherheit betreffen. Nicht immer seien die Vereinbarungen mit den Anbietern (SLA) so ausgestaltet, dass sie die entstehende Lücke schlössen.
Derartige Probleme halten die Verfasser der Studie für sehr wahrscheinlich. Sie entstünden vor allem durch eine unklare Aufteilung der Verantwortlichkeiten zwischen Kunde und Anbieter. Neben Datensicherheit und den zu erbringenden Diensten litten darunter vor allem der Ruf des Unternehmens, Vertrauen der Kunden und die Loyalität der Mitarbeiter.
Eine weitere Gefahr ist laut der Studie die Abhängigkeit von einem Anbieter wegen fehlender Standards bei Cloud Computing. Bisher gebe es kaum Anwendungen, Prozesse, Dateiformate oder Schnittstellen, die die Übertragbarkeit von Daten und Diensten von einem Anbieter zu anderen sicherstellten.
Schwierig sei es daher auch, Daten und Anwendungen von einem Cloud-Anbieter zurück in die hauseigene IT-Umgebung zu holen. Kritisch könne dieser Mangel an Standards für Firmen beispielsweise dann werden, wenn ein Cloud-Anbieter bankrott geht und sie ihre Daten nur mit hohen Kosten an einen anderen übertragen können.
Etwas weniger wahrscheinlich, aber nicht ausgeschlossen ist der Enisa-Studie zufolge die Gefahr, dass beim Anbieter von Cloud-Diensten die Mechanismen zur Trennung der Datenbestände verschiedener Kunden versagen. Wer mit einer privaten Cloud arbeitet, für den ist die Wahrscheinlichkeit solcher Vorfälle wesentlich geringer als für Firmen, die ihre Daten in einer öffentlichen Wolke verarbeiten lassen.
Der größte Sicherheitsvorteil ergibt sich laut der Studie aus einer simplen rechnerischen Betrachtung. Da in einer Wolke alle Sicherheitsdienste in größerem Ausmaß bereitgestellt werden, als wenn ein Unternehmen sie nur innerhalb der eigenen IT-Landschaft einsetzen würden, seien sie wesentlich günstiger. Für die gleiche Summe an Geld erhalte der Kunde in der Cloud also ein höheres Maß an Sicherheit.
Kunden wählen Cloud-Anbieter nach Sicherheits-Standard aus
Dass Cloud Computing besonders sicher sein könne, sei zudem deshalb anzunehmen, weil die Auswahl eines Anbieters für viele Cloud-Anwender mittlerweile vor allem von dessen Sicherheits-Standards abhänge. Die Anbieter seien folglich gezwungen, ihre Dienste immer sicherer zu gestalten. Die Studie verweist auch darauf, dass vor allem größere Anbieter oft offene Schnittstellen für Sicherheitsfirmen bereitstellten. Das schaffe einen Markt für Sicherheitsdienstleistungen.
Firmen, die auf Cloud Computing setzen wollen, sollten sich dem Enisa-Papier zufolge auf drei Feldern absichern. Zum einen gelte es, das Risiko für Cloud Computing grundsätzlich abzuschätzen. Danach gelte es, Anbieter zu vergleichen und von ausgewählten Cloud-Betreibern Sicherheitsgarantien einzuholen.
Vertragsklauseln genau prüfen
Anbieter hingegen seien gefordert, ein standardisiertes Vorgehen für Anfragen von Kunden auf Sicherheits-Audits ihrer Dienste zu entwickeln. Denn immer mehr Kunden pochten auf solche Überprüfungen.
Standard-Klauseln in Verträgen für Cloud Computing sollte der Kunde genau prüfen. Rechte und Pflichten sollten genauestens geklärt werden, vor allem für Situationen wie die Benachrichtigung über eine Sicherheitslücke oder Datentransfers.
Die Autoren des Berichts fordern die Europäische Kommission auf, ihren Beitrag zu einem besseren Datenschutz bei Cloud Computing zu leisten. Sie solle beispielsweise festschreiben, dass Cloud-Anbieter ihre Kunden bei Datenlecks zu informieren haben. Außerdem müsse sie mehr für gemeinsame Mindest-Sicherheitsstandards in allen Mitgliedsstaaten tun.